Hoe schrijf je een AI-beleid voor je organisatie in 5 stappen
Zahed Ashkara15 april 202612 min leestijd
Je organisatie gebruikt AI. Is er een beleid?
Ergens in je bedrijf plakt op dit moment iemand vertrouwelijke klantgegevens in ChatGPT. Een collega gebruikt een AI-tool om cv's te screenen. Een derde maakt marketingteksten met Gemini zonder dat iemand het weet. Dit is geen hypothetisch scenario. Onderzoek van Microsoft en LinkedIn laat zien dat 78% van de kenniswerkers AI gebruikt op het werk, en meer dan de helft heeft dit niet aan hun manager verteld.
Dit is de realiteit die een AI-beleid niet alleen een compliance-vinkje maakt, maar een operationele noodzaak. Zonder duidelijke richtlijnen riskeer je niet alleen problemen met de EU AI Act. Je riskeert datalekken, bevooroordeelde beslissingen, reputatieschade en een werknemersbestand dat het ter plekke verzint.
Het goede nieuws: een effectief AI-beleid schrijven vereist geen team van juristen en zes maanden vergaderen. Het vereist helderheid over wat je wilt, wat je acceptabel vindt en wat je mensen moeten weten.
Stap 1: Breng je AI-landschap in kaart
Voordat je een enkele regel schrijft, moet je weten welke AI daadwerkelijk in je organisatie wordt gebruikt. Niet wat je denkt dat er gebruikt wordt. Wat er werkelijk gebruikt wordt.
Dit betekent een AI-inventarisatie uitvoeren. Stuur een enquete. Praat met afdelingshoofden. Controleer inkoopregistraties. Kijk naar browserextensies, SaaS-abonnementen en software-integraties. Je zult vrijwel zeker AI-tools vinden waarvan je het bestaan niet kende. Shadow AI, het organisatorische equivalent van shadow IT, is de norm in 2026, niet de uitzondering.
Je inventarisatie moet vier dingen vastleggen per AI-tool: wat het doet, wie het gebruikt, welke data het verwerkt, en of het beslissingen neemt of ondersteunt die mensen raken. Dat laatste punt is enorm belangrijk onder de EU AI Act, omdat AI-systemen die invloed hebben op werkgelegenheid, kredietwaardigheid, toegang tot onderwijs of overheidsdiensten als hoog-risico worden geclassificeerd onder Artikel 6 en Bijlage III.
Streef niet naar perfectie in deze stap. Streef naar zichtbaarheid. Je kunt niet besturen wat je niet kunt zien.
Stap 2: Stel je risicokader op
Niet alle AI-gebruik brengt hetzelfde risico met zich mee. Een team dat ChatGPT gebruikt om marketingslogans te brainstormen is fundamenteel anders dan een team dat een AI-model gebruikt om kredietaanvragen te scoren. Je beleid moet dit verschil weerspiegelen.
Gerelateerde artikelen
Klaar om te beginnen met leren?
Sluit je aan bij duizenden professionals die AI-vaardigheden leren met interactieve cursussen.
De EU AI Act biedt een bruikbaar startkader met zijn vierdelige risicoclassificatie: onaanvaardbaar risico (verboden), hoog risico (streng gereguleerd), beperkt risico (transparantieverplichtingen) en minimaal risico (in feite ongereguleerd). Maar je interne beleid moet verder gaan.
Maak een eenvoudige beslismatrix die AI-gebruikscases koppelt aan risiconiveaus op basis van drie factoren: de gevoeligheid van de betrokken data, de impact van AI-gegenereerde beslissingen op mensen, en de mate van menselijk toezicht in het proces. Een praktische aanpak is een stoplichtmodel. Groen: vrij te gebruiken met basisrichtlijnen. Oranje: gebruik met goedkeuring en extra waarborgen. Rood: verboden zonder formele beoordeling en goedkeuring van het management.
Bijvoorbeeld: AI gebruiken om vergadernotulen samen te vatten is groen. AI gebruiken om klantcommunicatie op te stellen is oranje, want het betreft je merkstem en mogelijk vertrouwelijke informatie. AI gebruiken om werknemersprestaties te beoordelen is rood, want het raakt direct de carriere van mensen en valt onder hoog-risico AI-regulering.
Documenteer deze categorieen helder. Dubbelzinnigheid is de vijand van compliance.
Stap 3: Stel duidelijke datagrenzen
Het allerbelangrijkste onderdeel van elk AI-beleid gaat over data. Dit is waar organisaties de mist ingaan, en waar de EU AI Act, de AVG en gewoon gezond zakelijk verstand samenkomen.
Je beleid moet expliciet aangeven welke data wel en niet in AI-systemen mag worden ingevoerd. Stel minimaal deze categorieen vast:
Nooit invoeren: persoonsgegevens van klanten of werknemers (namen, adressen, BSN-nummers, gezondheidsgegevens), bedrijfsgeheimen, financiele gegevens, wachtwoorden, broncode van eigen systemen, en alle data die als vertrouwelijk is geclassificeerd onder je bestaande dataclassificatiebeleid.
Met voorzichtigheid invoeren: interne documenten, geanonimiseerde datasets, openbaar beschikbare informatie gecombineerd met interne context.
Vrij te gebruiken: openbaar beschikbare informatie, je eigen niet-vertrouwelijke tekst, generieke vragen zonder organisatorische context.
Dit klinkt vanzelfsprekend, maar de meeste organisaties ontdekken dat hun medewerkers routinematig deze grenzen overschrijden. Niet kwaadwillig. Ze wisten simpelweg de regels niet, omdat er geen regels waren.
Besteed ook aandacht aan dataretentie. Als een medewerker ChatGPT gebruikt, slaat OpenAI dat gesprek op? Hoe lang? Kan het worden gebruikt om toekomstige modellen te trainen? Deze vragen doen ertoe onder AVG Artikel 5 (opslagbeperking) en ze doen er praktisch toe. Sommige AI-aanbieders, met name de enterprise-versies, bieden zero-data-retention overeenkomsten. Je beleid moet specificeren welke versies van AI-tools zijn goedgekeurd.
Stap 4: Definieer verantwoordelijkheid en governance
Een beleid zonder verantwoordelijkheid is een suggestie. Elk AI-beleid heeft duidelijk eigenaarschap en escalatiepaden nodig.
Wijs een AI governance lead aan, of wijs minimaal iemand binnen je bestaande compliance- of risicoteam aan die AI-governance bezit. Voor organisaties met meer dan 50 medewerkers vereist Artikel 4 van de EU AI Act dat personeel dat betrokken is bij de werking en het gebruik van AI-systemen voldoende AI-geletterdheid heeft. Iemand moet verantwoordelijk zijn om dat te realiseren.
Je governancestructuur moet het volgende definiëren:
Wie keurt nieuwe AI-tools goed. Creeer geen bureaucratische knelpunten, maar laat ook niet elk team zelfstandig elke AI-tool adopteren die ze tegenkomen. Een lichtgewicht goedkeuringsproces, misschien een eenvoudig formulier dat binnen vijf werkdagen door IT en compliance wordt beoordeeld, voorkomt dat shadow AI groeit terwijl de innovatiesnelheid acceptabel blijft.
Wie monitort doorlopend gebruik. AI-tools veranderen. Aanbieders updaten hun modellen, hun gebruiksvoorwaarden en hun dataverwerking. Iemand moet deze veranderingen volgen en beoordelen of ze je risicopositie beinvloeden. Stel minimaal een kwartaalreview in.
Wie handelt incidenten af. Wanneer, niet als, er iets misgaat, bij wie melden medewerkers dit? Als een AI-tool bevooroordeelde output genereert, als vertrouwelijke data per ongeluk wordt gedeeld, als een klant klaagt over AI-gegenereerde communicatie. Definieer het escalatiepad voordat je het nodig hebt.
Wie documenteert compliance. Onder de EU AI Act moeten gebruikers van hoog-risico AI-systemen logboeken en documentatie bijhouden. Zelfs voor AI-gebruik met lager risico is het bijhouden van welke tools je gebruikt, hoe je hun risico hebt beoordeeld en welke maatregelen je hebt getroffen de basis van auditgereedheid.
Stap 5: Communiceer, train en herhaal
Het beste AI-beleid ter wereld is nutteloos als het in een SharePoint-map leeft die niemand opent. Communicatie is niet optioneel. Het is de stap die bepaalt of je beleid daadwerkelijk gedrag verandert.
Begin met een bedrijfsbrede aankondiging. Leg niet alleen de regels uit, maar ook de redenering. Mensen volgen regels die ze begrijpen. "Stop geen klantdata in ChatGPT" is een regel. "ChatGPT stuurt je invoer naar OpenAI-servers in de VS, waar het kan worden bekeken door hun personeel en mogelijk wordt gebruikt voor modeltraining, wat betekent dat het plakken van klantdata een AVG-overtreding en een datalek creëert" is een reden. De reden blijft hangen.
Investeer vervolgens in training. Niet een enkel webinar dat iedereen vergeet. Gestructureerde, rolspecifieke AI-geletterdheidstraining die behandelt wat AI wel en niet kan, hoe je AI-output kritisch evalueert, wat de EU AI Act vereist, en wat je specifieke organisatiebeleid zegt. Artikel 4 van de EU AI Act maakt dit een wettelijke verplichting, geen luxe.
Ten slotte, verbind je aan herhaling. Je AI-beleid is een levend document. De technologie verandert elk kwartaal. Nieuwe AI-tools verschijnen. Regulering evolueert. Het EU AI Office publiceert nieuwe technische standaarden. Stel een reviewschema in, minimaal elke zes maanden, en volg het daadwerkelijk op.
De organisaties die AI-governance goed aanpakken zijn niet degenen met de dikste beleidsdocumenten. Het zijn degenen die hun AI-beleid behandelen als een praktisch hulpmiddel dat meebeweegt met de technologie en de regelgeving. Begin met deze vijf stappen, houd het helder, houd het menselijk en houd het actueel. Je team zal je dankbaar zijn, en je compliancepositie is klaar voor wat de EU AI Act-handhaving ook brengt.